Amazon Web Services EMEA SARL
L-1855 Luxembourg
E-Mail-Versanddienst (Amazon SES) für Produkt- und Transaktions-E-Mails, einschliesslich solcher, die im Rahmen der Dienste im Auftrag des Verantwortlichen versendet werden.
Wie Join personenbezogene Daten in Ihrem Auftrag verarbeitet. Ihre Rolle als Verantwortlicher, unsere als Auftragsverarbeiter, und was wir schriftlich zusichern.
Präambel
JOIN hat es sich zur Aufgabe gemacht, Arbeitssuchende und Unternehmen weltweit miteinander zu verbinden. Unternehmen können die JOIN-Plattform unter https://join.com/ (im Folgenden “Plattform” genannt) nutzen, um Stellenangebote zu veröffentlichen und eingegangene Bewerbungen an einem zentralen Ort zu verwalten. Unsere Dienste sind darauf ausgelegt, den Rekrutierungsprozess sowohl für Unternehmen als auch für Arbeitnehmer zu vereinfachen, insbesondere bei der Vermittlung geeigneter Kandidaten und der Vereinfachung des Bewerbungsverfahrens.
Das Unternehmen kann Stellenanzeigen veröffentlichen und die damit verbundenen Bewerbungsverfahren auf der Plattform mithilfe eines webbasierten Verwaltungstools (“Bewerbermanagement-Tool”) verwalten. In diesem Zusammenhang werden personenbezogene Daten, die vom Unternehmen im Rahmen des jeweiligen Bewerbungsprozesses generiert werden, von JOIN verarbeitet, wobei JOIN als Auftragsverarbeiter für das Unternehmen als Verantwortlicher im Sinne der geltenden Datenschutzgesetze fungiert. Das Unternehmen beabsichtigt, Kandidaten für solche Stellenanzeigen zu rekrutieren, und nutzt dazu die Plattform von JOIN.
Was die anderen Dienste von JOIN betrifft, wie beispielsweise die Vermittlung geeigneter Kandidaten oder Angebote an Kandidaten, werden personenbezogene Daten von JOIN als Verantwortlicher im Sinne der geltenden Datenschutzgesetze verarbeitet. Weitere Informationen finden Sie in der Datenschutzerklärung von JOIN.
Diese AVV dient dem Schutz der Parteien vor der missbräuchlichen Verwendung der im Bewerbermanagement-Tool verarbeiteten personenbezogenen Daten, der Gewährleistung des Datenschutzes durch JOIN in Bezug auf personenbezogene Daten, die das Unternehmen JOIN bekannt gegeben hat, sowie der Einhaltung der gesetzlichen Anforderungen, sofern die Geschäftsbeziehung zwischen dem Unternehmen und JOIN als Datenverarbeitung anzusehen ist.
Diese AVV ist Bestandteil jedes Dienstleistungsvertrags zwischen den Parteien, sofern in einem nach Abschluss dieser AVV zu schliessenden Vertrag nichts anderes ausdrücklich vereinbart wird. Dieses Dokument, einschliesslich aller Anhänge, legt zudem die Datenschutzpflichten der Parteien aus dem zugrunde liegenden Dienstleistungsvertrag wie folgt fest:
Abschnitt 01
Abschnitt 02
Abschnitt 03
Die Bestimmungen dieser AVV sind integraler Bestandteil des Dienstleistungsvertrags zwischen den Parteien und haben Vorrang vor den übrigen vertraglichen Vereinbarungen der Parteien zum Datenschutz, insbesondere vor anderen Verträgen, die Bestimmungen enthalten, die zum Nachteil des Unternehmens von den Bestimmungen dieser AVV abweichen. Ziffer 1.1 bleibt unberührt. Die Bestimmungen dieser AVV gelten nicht für die Verarbeitung personenbezogener Daten, die JOIN als Verantwortlicher dem Unternehmen oder einem anderen einzelnen Nutzer im Rahmen des Dienstleistungsvertrags zur Verfügung stellt.
Abschnitt 04
Die Parteien vereinbaren hiermit, dass der Zweck der Datenverarbeitung in der Erfüllung der vertraglichen Zwecke gemäss dem Dienstleistungsvertrag besteht, insbesondere in der Durchführung und Verwaltung spezifischer Bewerbungsprozesse, auf die das Unternehmen über das Bewerbermanagement-Tool auf der JOIN-Plattform zugreifen kann. Der Umfang und die Art der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten richten sich nach den Bestimmungen des Dienstleistungsvertrags sowie nach den vom Unternehmen tatsächlich in Anspruch genommenen Dienstleistungen.
Abschnitt 05
Zu den von der Verarbeitung personenbezogener Daten im Rahmen des Dienstleistungsvertrags betroffenen Personen gehören:
Abschnitt 06
Die folgenden Arten von Daten sind von der Auftragsverarbeitung besonders betroffen:
Werden diese Daten im Rahmen anderer JOIN-Dienste verarbeitet, wie z. B. der Vermittlung geeigneter Kandidaten oder von Dienstleistungen für Kandidaten, erfolgt dies nicht im Rahmen dieser AVV. In solchen Fällen verarbeitet JOIN diese Daten als Verantwortlicher im Sinne der geltenden Datenschutzgesetze. Es wird auf die Datenschutzerklärung von JOIN verwiesen.
Abschnitt 07
Abschnitt 08
Datenverarbeitung. JOIN ist verpflichtet, personenbezogene Daten im Rahmen dieser AVV ausschliesslich in Übereinstimmung mit dieser Vereinbarung und/oder dem zugrunde liegenden Dienstleistungsvertrag sowie den Anweisungen des Unternehmens zu verarbeiten.
Rechte der betroffenen Person. JOIN unterstützt das Unternehmen so weit wie möglich bei der Erfüllung der Rechte der betroffenen Personen, insbesondere in Bezug auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung.
JOIN wird auf Anweisung des Unternehmens die im Auftrag des Unternehmens verarbeiteten personenbezogenen Daten berichtigen, löschen oder deren Verarbeitung einschränken. Diese Verpflichtung gilt nicht für personenbezogene Daten, die JOIN als Verantwortlicher im Rahmen der über die Plattform angebotenen Dienste verarbeitet.
Wendet sich eine betroffene Person direkt an JOIN, um die Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu beantragen, leitet JOIN diesen Antrag unverzüglich nach Erhalt an das Unternehmen weiter. Das Unternehmen bleibt für die Bearbeitung der Anträge verantwortlich.
Interne Kontrollpflichten. JOIN hat geeignete Kontrollmassnahmen, z. B. interne Audits, Datenschutzkonzepte usw. zu implementieren, um sicherzustellen, dass die im Rahmen dieser AVV verarbeiteten personenbezogenen Daten in Übereinstimmung mit dieser Vereinbarung sowie den entsprechenden Anweisungen verarbeitet werden.
Informationspflicht. JOIN hat als Auftragsverarbeiter das Unternehmen zu informieren, wenn nach seiner Einschätzung eine Anweisung gegen gesetzliche Vorschriften verstößt. JOIN ist in diesem Fall berechtigt, die Ausführung der entsprechenden Anweisung auszusetzen, bis diese vom Unternehmen geändert wird. Dies begründet jedoch keine Überprüfungs- oder Benachrichtigungspflicht seitens JOIN.
JOIN hat das Unternehmen spätestens 48 Stunden nach Bekanntwerden über jeden Verstoss gegen Datenschutzbestimmungen, gegen die im Dienstleistungsvertrag und in der Vereinbarung festgelegten Regelungen und/oder gegen erteilte Anweisungen zu informieren, der im Rahmen der Datenverarbeitung durch JOIN, von JOIN beschäftigte Personen oder andere mit der Verarbeitung beauftragte Dritte auftritt, sofern dies die geltenden Datenschutz-Meldepflichten auslöst. Eine solche Mitteilung muss mindestens Folgendes enthalten:
Ist der Zugriff auf die personenbezogenen Daten, die das Unternehmen zur Datenverarbeitung an JOIN übermittelt hat, durch Massnahmen Dritter gefährdet (z. B. Massnahmen eines Insolvenzverwalters, Beschlagnahme durch Steuerbehörden usw.), ist JOIN verpflichtet, das Unternehmen darüber zu informieren.
JOIN gibt Informationen an eine anfragende Partei nur nach vorheriger Zustimmung des Unternehmens weiter, es sei denn, JOIN ist aufgrund behördlicher Massnahmen oder gerichtlicher Entscheidungen zur Auskunftserteilung verpflichtet.
Erstellung eines Verarbeitungsprotokolls. Auf Anfrage unterstützt JOIN das Unternehmen bei der Erstellung einer Aufstellung der Verarbeitungsvorgänge im Rahmen des AVV und der stattfindenden Datenverarbeitung und stellt die erforderlichen Informationen in geeigneter Form zur Verfügung.
JOIN führt zudem ein eigenes Verzeichnis aller Kategorien von Verarbeitungsvorgängen, die im Auftrag des Unternehmens durchgeführt werden, gemäss den Bestimmungen der geltenden Datenschutzgesetze.
Melde- und Kooperationspflichten. JOIN unterstützt das Unternehmen auf Anfrage bei der
Ort der Datenverarbeitung. Sofern zwischen den Parteien nichts anderes vereinbart wurde, erfolgt die Verarbeitung und Nutzung der Daten durch JOIN in der Schweiz, in der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Eine Verlagerung der Datenverarbeitungstätigkeiten von JOIN in ein Drittland ist nur zulässig, wenn die besonderen Anforderungen von Kapitel V der DSGVO oder Abschnitt 2 des DSG eingehalten werden. Das Unternehmen erklärt sich damit einverstanden, dass JOIN, sofern JOIN gemäss dieser Vereinbarung einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungsvorgänge (im Auftrag des Unternehmens) in einem Drittland beauftragt und diese Verarbeitungsvorgänge eine Übermittlung personenbezogener Daten im Sinne der DSGVO bzw. des DSG beinhalten, JOIN und der Unterauftragsverarbeiter Standardvertragsklauseln verwenden dürfen, die von der Kommission auf der Grundlage von Artikel 46(2) DSGVO verwendet werden, um die Anforderungen von Kapitel V der DSGVO zu erfüllen, sofern die Voraussetzungen für die Verwendung dieser Klauseln erfüllt sind und eine interne Bewertung zu dem Ergebnis gelangt ist, dass eine solche Übermittlung dem Datenschutzniveau der DSGVO und des DSG entspricht.
Löschung personenbezogener Daten nach Beendigung des Vertrags. Nach Beendigung des Dienstleistungsvertrags ist JOIN verpflichtet, auf Verlangen des Unternehmens alle personenbezogenen Daten, Unterlagen sowie Verarbeitungs- und Nutzungsergebnisse, die dieser AVV unterliegen und mit dem Vertragsverhältnis in Zusammenhang stehen, an das Unternehmen zu übergeben sowie unter Einhaltung der Datenschutz- und Datensicherheitsrichtlinien und gemäss den Anweisungen des Unternehmens diejenigen Daten zu löschen, zu deren weiterer Verarbeitung JOIN weder vertraglich noch gesetzlich berechtigt oder verpflichtet ist. Diese Löschpflicht gilt nicht für personenbezogene Daten, die JOIN als Verantwortlicher im Rahmen der über die Plattform angebotenen Dienste verarbeitet.
Abschnitt 09
Abschnitt 10
JOIN ist berechtigt, Subunternehmer mit der Datenverarbeitung gemäss den folgenden Bestimmungen zu beauftragen:
Abschnitt 11
Abschnitt 12
Abschnitt 13
Abschnitt 14
Abschnitt 15
Anhang 1
JOIN versichert, dass es die folgenden technischen und organisatorischen Massnahmen getroffen hat.
Massnahmen, die unbefugten Personen den physischen Zugang zu IT-Systemen und Datenverarbeitungssystemen, die personenbezogene Daten verarbeiten, sowie zu vertraulichen Akten und Datenträgern physisch verwehren.
Massnahmen, um zu verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen.
Massnahmen, die sicherstellen, dass die zur Nutzung der Datenverarbeitungsverfahren Berechtigten nur auf die personenbezogenen Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, sodass Daten während der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können.
Massnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet und von anderen Daten und Systemen so getrennt werden, dass diese Daten nicht versehentlich für andere Zwecke verwendet werden können.
Massnahmen, die die direkte Zuordnung personenbezogener Daten zu einer bestimmten betroffenen Person während der Verarbeitung so einschränken, dass die Identifizierung einer bestimmten betroffenen Person nur unter Einbeziehung zusätzlicher Informationen möglich ist. Diese zusätzlichen Informationen müssen unter Anwendung geeigneter technischer und organisatorischer Massnahmen getrennt vom Pseudonym gespeichert werden.
Massnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, sowie Massnahmen, mit denen überprüft und festgestellt werden kann, wohin personenbezogene Daten übertragen werden sollen.
Massnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in den IT-Systemen abgerufen, geändert oder gelöscht wurden.
Massnahmen zur Gewährleistung, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind.
Massnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit von und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen.
Massnahmen zur Gewährleistung einer datenschutzkonformen und sicheren Verarbeitung.
Massnahmen zur Sicherstellung, dass alle Funktionen des Systems bzw. der Systeme verfügbar sind und auftretende Störungen gemeldet werden.
Massnahmen zur Gewährleistung, dass für unterschiedliche Zwecke erhobene personenbezogene Daten getrennt verarbeitet werden können.
Anhang 2
Die folgenden Drittanbieter unterstützen JOIN bei der Erbringung der Dienste. Jeder ist vertraglich an einen Datenschutzstandard gebunden, der mindestens dem dieser AVV entspricht.
E-Mail-Versanddienst (Amazon SES) für Produkt- und Transaktions-E-Mails, einschliesslich solcher, die im Rahmen der Dienste im Auftrag des Verantwortlichen versendet werden.
Web Application Firewall (WAF), CDN und DDoS-Schutz für JOIN-Dienste.
Kundenkommunikationsplattform zur Verwaltung gemeinsamer Postfächer, Support-Interaktionen und E-Mail-Workflows.
Fehler-Monitoring und Performance-Tracking für die JOIN-Anwendung. Kann technische Daten in Logs verarbeiten.
Hosting und Speicher für die JOIN-Plattform, einschliesslich virtueller Maschinen (Compute Engine), verwalteter Datenbanken (Cloud SQL / Firestore), Objektspeicher (Cloud Storage), Netzwerk und Backups.
E-Mail- und Produktivitätssuite (Gmail, Drive, Docs, Sheets, Meet, Kalender) für interne Abläufe und Kundenkommunikation.
E-Mail-Plattform für Marketing-, Produkt- und Transaktions-E-Mails an Nutzer und im Auftrag des Verantwortlichen.
Tool für Issue-Tracking und Produktmanagement zur Steuerung von Produktentwicklung, Bug-Tracking und internen Workflows.
Pre-Employment-Testplattform zur Beurteilung der Fähigkeiten von Bewerbern durch Online-Tests und Bewertungen im Einstellungsprozess.
Fragen zu dieser Vereinbarung, unseren Subunternehmern oder einer Anfrage nach Datenschutzrechten? Unser Rechtsteam erreichen Sie unter [email protected] oder über join.com/contact.